POLITICA PRIVIND RESURSELE INFORMATICE

1. DEFINITII

„GDPR”, „Regulamentul” - Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor, in limba engleza General Data Protection Regulation);

„date cu caracter personal” - orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

„prelucrare” - inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;

„operator” - inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;

„persoana imputernicita de operator” - inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;

„destinatar” - inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Cu toate acestea, autoritatile publice carora li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritatile publice respective respecta normele aplicabile in materie de protectie a datelor, in conformitate cu scopurile prelucrarii;

„parte terta” - inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;

„consimtamant” - al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;

„incalcarea securitatii datelor cu caracter personal” - inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;

„reprezentant” - inseamna o persoana fizica sau juridica stabilita in Uniune, desemnata in scris de catre operator sau persoana imputernicita de operator, care reprezinta operatorul sau persoana imputernicita in ceea ce priveste obligatiile lor respective care le revin in temeiul GDPR;

„reguli corporatiste obligatorii” - inseamna politicile in materie de protectie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoana imputernicita de operator stabilita pe teritoriul unui stat membru, in ceea ce priveste transferurile sau seturile de transferuri de date cu caracter personal catre un operator sau o persoana imputernicita de operator in una sau mai multe tari terte in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna;

„autoritate de supraveghere” - inseamna o autoritate publica independenta instituita de un stat membru;

„DPO” - responsabilul cu protectia datelor (in limba engleza, data protection officer);

„DPIA” - evaluarea impactului asupra protectiei datelor (in limba engleza, data-protection impact assessment, DPIA);

„Autoritate de Supraveghere” - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP)

2. CADRUL GENERAL

Scop. Prezenta politica are ca scop asigurarea securitatii resurselor informationale ale ROMANIAN GARDEN SRL. Se va urmari protectia resurselor informationale impotriva modificarilor neautorizate sau accidentale, asigurand acuratetea si completitudinea acestora, precum si protectia resurselor informationale impotriva divulgarii neautorizate.

3. DOMENIUL DE APLICARE

Prezenta politica se aplica tuturor structurilor organizatorice ale Operatorului ROMANIAN GARDEN SRL.

Prezenta Politica va fi considerata ca avand caracter general si se va aplica tuturor prelucrarilor efectuate de Operator. In cazul in care se constata existenta anumitor aspecte legate de gestionare datelor cu caracter general pentru care prezenta Politica nu ofera directive corespunzatoare, Angajatii trebuie sa solicite imediat consiliere din partea Ofiterului responsabil cu protectia datelor (DPO), daca a fost numit sau reprezentantului legal al Operatorului.

4. DOCUMENTE DE REFERINTA

  • GDPR
  • Regulament intern
  • Proceduri interne la protecția datelor cu caracter personal

5. PREVEDERI GENERALE

5.1. Principii. Toti angajatii si colaboratorii ROMANIAN GARDEN SRL au responsabilitatea de a proteja activele informationale ale Operatorului, folosind prezenta Politica drept un instrument principal si aderand la standardele, procedurile si indrumarile incluse in acesta.

Retelele, aplicatiile si sistemele informatice ale Operatorului sunt disponibile in momentul in care este nevoie de ele. Acestea nu pot fi accesate decat de catre utilizatorii autorizati si contin informatii corecte si complete.

Prin implementarea unor masuri atat tehnice, cat si operationale, Operatorul va proteja toate programele, echipamentele si activele informationale aflate in patrimoniul ei.

5.2. Informarea utilizatorilor. Fiecare angajat va participa in momentul angajarii si ulterior, anual, la cursuri de securitate a informatiilor organizate de conducerea Operatorului. De asemenea, fiecarui angajat/colaborator ii vor fi puse la dispozitie, in momentul angajarii/semnarii contractului de colaborare, copii ale prezentei Politicii, precum si ale tuturor normelor si procedurilor operationale IT, pe care va trebui sa le respecte. Acestia isi vor exprima acordul cu privire la respectarea acestor norme prin semnarea formulatorului din Anexa 1 a acestui document.

De asemenea, prezenta Politica precum si celelalte norme si proceduri operationale IT, vor fi postate pe Intranetul Operatorului intr-o locatie disponibila tuturor angajatilor. Angajatii vor fi informati cu privire la aceasta locatie. Prezenta Politica, precum si celelalte procedurii operationale se adreseaza deopotriva si colaboratorilor Operatorului, care vor folosi sau vor avea acces la resursele fizice si informationale ale Operatorului. Pentru a dovedi luarea la cunostinta a prevederilor incluse in aceste norme, colaboratorii vor semna formularul din Anexa 1.

5.3 Evaluarea riscurilor. Operatorul realizeaza in mod continuu evaluarea riscurilor pentru toate sistemele informatice, aplicatiile si retele care sunt utilizate in cadrul tuturor proceselor Operatorului. Totodata, se vor identifica masurile necesare pentru protectia impotriva breselor de confidentialitate, integritate si disponibilitate.

5.4 Utilizarea informatiilor. Fiecare angajator/colaborator trebuie sa aiba acces doar la informatia necesara pentru a-si indeplini sarcinile de serviciu. Informatiile sensibile trebuie accesate doar de catre angajatii carora proprietarul aplicatiei respective le-a acordat drept de acces.

Informatiile Operatorului nu trebuie folosite in alte scopuri decat cele de afaceri aprobate in mod oficial de catre Conducere. Folosirea neaprobata a informatiile Operatorului este interzisa.

Utilizatorilor nu le este permis sa efectueze nicio activitate in sistemele informatice ale Operatorului ce ar putea conduce la deteriorarea imaginii Operatorului.

Folosirea in scop personal a informatiilor Operatorului, cum ar fi listele de distributie la e-mail-urilor este interzisa.

Nu este permisa utilizarea de programe licentiate de catre Operator pe calculatoare personale, cu exceptia cazului in care sistemul a fost desemnat sa proceseze informatii ale Operatorului.

Toate activitatile utilizatorilor sunt inregistrate si analizate ulterior. O conduita nepotrivita poate duce la actiuni disciplinare inclusiv revocarea drepturilor de acces. Operatorul permite utilizarea ocazionala a sistemelor informatice in scop personal, inclusiv a telefonului, atat timp cat nu implica costuri semnificative, nu interfereaza cu performanta la locul de munca, si nu limiteaza accesul altor utilizatori la resursele sistemului.

5.5. Politica pentru parole

Accesul la sistemul informatic al Operatorului trebuie sa fie restrictionat pe baza de nume de utilizator si parola.

Parolele asociate conturilor de utilizatori nu trebuie folosite pentru autentificarea in sisteme externe.

Operatorului (de ex. Conturi personale de e-mail, conturi pe site-uri comerciale etc.). Parolele trebuie sa difere de la o aplicatie accesata la alta. Alegeti parole diferite pentru aplicatii fata de cele pentru accesul in retea.

Utilizatorii nu trebuie sa dezvaluie nimanui parolele utilizate in cadrul sistemelor informatice ale Operatorului, nici macar celorlalti angajati. Toate parolele sunt calificate ca informatii confidentiale.

Nu este permisa stocarea parolelor in sistemele informatice. Nu este permisa scrierea parolelor in clar pe hartie sau pe un alt suport.

Pentru protejarea parolelor, utilizatorii trebuie sa:

  • NU destanuie sub nicio circumstanta nicio parola NIMANUI;
  • NU impartaseasca parolele cu membrii familie;
  • NU dezvaluie parola colegilor de serviciu pe perioada concediului;
  • NU dezvaluie parola managerului;
  • NU ofera NIMANUI detalii cu privire la parola („numarul meu de la masina”);
  • NU scrie in clar parola pe hartie sau in mesaje electronice;
  • NU pastreaza parolele scrise;
  • NU stocheze parolele sub forma de fisiere pe NICIUN sistem de calcul (nici pe echipamentele mobile) fara ca acele fisiere sa fie criptate;
  • NU foloseasca functia ”Remember password” din cadrul aplicatiilor fara a utiliza un masier password.

Este necesar ca utilizatorii sa schimbe parola cel putin o data a 90 de zile. Daca un utilizator suspecteaza ca o persoana a aflat un cont de utilizator sau o parola ce nu ii este atribuita, trebuie sa raporteze departamentului IT si sa-si schimbe imediat parola in cazul in care aceasta este la cauza.

Parolele adecvate au urmatoarele caracteristici:

  • Contin atat majuscule cat si litere mici (A-Z, a-z);
  • Contin cifre si cel putin un caracter alfanumeric (0-9,!@#$%^&*()_+:?;.);
  • Nu se bazeaza pe informatii personale precum nume, numere de telefon etc.;
  • Nu coincid si nu contin numele de utilizator;
  • Au lungimea minima de opt caractere.

Parolele neadecvate reprezinta parole cu grad scazut de complexitate ce sunt deseori caracterizate de una dintre urmatoarele specificatii:

  • Reprezinta un cuvant folosit in mod uzual, cum ar fi:
    • - Numele de familie al utilizatorului, numele copiilor, colegilor de serviciu, animalelor de Operator etc.;
    • - Zilele de nastere, adrese, numere de telefon, numarul de la masina sau alte informatii personale;
    • - Cuvinte sau succesiuni de litere sau cifre de genul: abedef,123456,zyxwvuts, 123321 etc.;
    • - Oricare ditre cuvintele de mai sus scrise in ordinul invers;
  • Coincid sau contin numele de utilizator;
  • Au lungimea mai mica de opt caractere.

5.6. Accesul la distanta

Accesul la distanta se va face folosind un mecanism de autentificare cu parola valabila o singura data sau prin chei publice/ private protejate cu parole corespunzatoare. Accesul la distanta se acorda dupa aprobarea Departamentului IT.

Accesul de la distanta in sistemele Operatorului impune respectarea urmatoarelor reguli:

  • Remote control – descriere proces de acces sistem (se identifica partea care incearca sa acceseze, se comunica parola de acces prin telefon, nu mail: parola de acces este regenerata la fiecare logare).
  • Inainte de a initia conexiunea la reteaua Operatorului, angajatii trebuie sa se asigure ca echipamentul de calcul pe care il folosesc nu este conectat in acelasi timp la o alta retea.
  • Orice alta configuratie hardware sau sotfware de acces de la distanta in afara celor agreate de Operator trebuie aprobata de Departamentul IT.
  • Conectarea de la distanta la reteaua Operatorului implica folosirea unui software antivirus agreat si actualizat zilnic la ultimele semnaturi de virusuri.
  • Angajatii vor accesa sistemele Operatorului de la distanta numai folosind echipamentele Operatorului, configurate si protejate corespunzator (PC-uri, Laptopuri, PDA-uri, tablete etc.)

5.7. Raportarea incidentelor

Angajatii trebuie sa raporteze toate incidentele cu privire la sistemele informatice ale Operatorului, iar cele referitoare la securitatea informatiei trebuie sa fie raportate Departamentului IT.

Angajatii vor raporta incidentele intalnite catre responsabilii din cadrul Operatorului prin trimiterea unui mesaj electronice in care vor specifica conditiile de aparitie ale incidentului, alaturi de toate detaliile observate la momentul procedurii.

Procesul de raportare a incidentelor de securitate a informatiei foloseste aceleasi cai de raportare ca si in cazul incidentelor obisnuite.

6. ROLURI SI RESPONSABILITATI

6.1. Angajatii

Toti angajatii care activeaza in cadrul Operatorului au urmatoarele responsabilitati:

  • Sa respecte Politica privind resursele informatice;
  • Sa asiste in sesiuni de informare si la cursuri de securitatea informatiei;
  • Sa se familiarizeze si sa actionezein concordanta cu toate cerintele Operatorului referitoare la securitatea informatiei;
  • Sa solicite sefului lor direct acces la resursele informationale care le sunt necesare;
  • Sa raporteze toate activitatile suspecte si problemele de securitate;
  • Sa raporteze orice suspiciune de bresa de securitate sau bresa de securitate ca atare;
  • Sa previna introducerea in sistemele informationale din cadrul Operatorului de produse software cu potential distructiv;
  • Sa pastreze in buna stare resursele informationale, produsele software si echipamentele hardware ale Operatorului;

6.2. Conducerea Operatorului

Are urmatoarele responsabilitati:

  • Sa asigure securitatea bunurilor roganizatiei (informatie, echipamente hardware, produse software folosite de catre angajati si de catre terte parti);
  • Sa asigure aplicarea politicii de securitate a Informatiei;
  • Sa se asigure ca toti angajatii sunt constienti de responsabilitatile de securitate pe care le au;
  • Sa se asigure raportarea si inregistrarea tuturor incidentelor de securitate;
  • Sa asigure ca orice incalcare a securitatii informatiei de catre angajati este investigata in mod corespunzator;
  • Sa asigure faptul ca angajatii au fost instruiti corespunzator cu privire la securitatea informatiei;
  • Sa emita decizii prin care este dispusa cercetarea faptelor angajatilor care au incalcat prevederile prezentei proceduri.

7. Dispozitii finale

Actiuni disciplinare in cazul incalcarii precedurii

Incalcarea prevederilor acestei proceduri poate determina aplicarea unor masuri disciplinare, inclusiv desfacerea contractului de munca din motive care tin de persoana angajatului sau chiar raspunderea penala a persoanei care se face vinovata de incalcarea prevederilor prezentei Proceduri, atunci cand legile in vigoare o impun.

In conditiile mentionate, lipsa de intelegere in cazul in care procedura va fi incalcata nu va putea fi invocata de catre utilizatorii carora le este adresata aceasta procedura.